Presentación, objetivo, régimen de preguntas/discusiones.                                                            1
¿Quiénes piensan que su sistema de riesgos tiene el soporte adecuado de la dirección?Para abrir nuestra charla, no quiero ...
La discusiones sobre riesgos en las corporaciones son originadas por las crisis. La crisis solamente expone las debilidade...
Una cultura consiente de los riesgos es necesaria para el éxito de todo ERM, asegurando de optimizar el valor de los accio...
Importancia de la cultura al reclutar.Estudio sobre ofertas de trabajo internacionales sobre posiciones gerenciales en rie...
Dicen que las acciones hablan más fuerte que las palabras. La cultura de conciencia de riesgos requiere que todas las área...
En negocios, los resultados se alcanzan por medir el éxito de cierta acción ymonitorear su progreso en el tiempo. En riesg...
La mitad de toda gestión es hacer la pregunta correcta, y la otra mitad es obtener la respuesta correcta. Una buenaherrami...
9
Otro elemento clave en sustentar la cultura de riesgos es una buena política de riesgos que proveadirección, transparencia...
Estas funciones para desarrollar una cultura de riesgos se basan principalmente en los objetivos de un comité de riesgos c...
Desde hace mucho tiempo, los ingenieros en geología descubrieron que poner pernos y cables de fuerza reforzaba las abertur...
Ningún estándar o política por si solas modifican las conductas. Una herramientavaliosa para generar una cultura de riesgo...
Estos desafíos no constituyen impedimentos para implementar un buen sistema de ERM, sino que en realidad,constituyen los c...
Experiencia del CEO despidiendo a varios ejecutivos, asumiendo el riesgo de actuarerróneamente como el mayor de su carrera...
Conclusiones: El mundo en 17001- Lo conocido (Europa), eventos con alta frecuencia y bajos impactos, foco principal delos ...
Bonus:La definición de riesgos puede hacerse con una herramienta llamada CASE para articularsus características:C onsequen...
18
Upcoming SlideShare
Loading in...5
×

Creando una cultura de gestión de riesgos

494

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
494
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Creando una cultura de gestión de riesgos

  1. 1. Presentación, objetivo, régimen de preguntas/discusiones. 1
  2. 2. ¿Quiénes piensan que su sistema de riesgos tiene el soporte adecuado de la dirección?Para abrir nuestra charla, no quiero dejar de mencionar a las palabras de quien ha hecho más que cualquier otra persona enproyectar al ERM, aún más que Lehman o Black y Scholes :), Jeffrey Skilling, ex presidente de Enron, “We love risk, becauserisk of how we make money”. Esta cultura de riesgos incentivada desde el CEO generó una conducta agresiva dentrode su organización. De hecho, Enron es aún el mejor ejemplo de como generar una mala cultura que resultó en faltade liquidez no adecuando su capital al riesgo, fraude contable por más que haya fallado algún control contable yabusos en su modelo de mark-to-model para valuar contratos de futuros.Veamos que prácticas construyeron una cultura de gestión de riesgos tóxica:1- Despedir anualmente al 10% o 15% de los empleados que tengan los peores evaluaciones (sistema “Rank andYank” aún usado por el 60% del Forbes500) – Buscar solamente rentabilidad, evitar confrontar prácticas, sólo cumplirórdenes, pensar en el corto plazo, no reportar riesgos, traders tomando riesgos y contables inflando resultados.2- No distinguir entre relaciones personales y profesionalismo (favoritismo, líder carismático, narcisismo)3- la cultura de culpar automáticamente a otros especialmente empleados de bajo rango (VulnerableSystem Syndrome)4- No tener un sistema normativo ni de control claros dentro la compañía (diluye las responsabilidades)5- Dejar de lado el factor de riesgos frente a la rentabilidad, sus negocios se transformaron en “apuestas” (y no condinero propio, sino de los inversores)Otros casos:SG Sociéte Générale – Al carecer de funciones de riesgos integradas, no pudieron identificar alarmas que resultaron en pérdidas portrading en €4.9 bn en 2008 (Jérôme Kerviel llegó a postear posiciones por más de la capitalización del banco en 2 años preveniblecon control de autorización).Bear Stearns – Exceso de confianza en su equipo que riesgo que centralizaron el liderazgo resultó en su colapsoIndependent Insurance – Un liderazgo autocrático y el miedo a “malas noticias” generó bajas reservas y su colapsoTambién tenemos fraude por toma de posiciones sin autorización, como el Credit Agricole en 2007. Si una cultura de riesgos generavalor para los grupos de interés, hay varios casos de problemas para identificarlos. USB en 2008, 2b USD, Kweku Adoboli donde elsoftware de ERM detectó las operaciones no autorizadas, pero no se investigaron. Tambien, BP y el derrame en el Golfo delDeepwater Horizon: ¿Fueron las precepciones de riesgos de los turistas, ecologistas, contratistas y muchos más incluidas en sucultura? BP carecía de ERM.Consecuencias de una pobre cultura: insolvencia, rebajas de calificaciones masivas, pérdida de valor de la acción, takeover EstatalERM no falla por un método sino por una cultura tóxica, su riesgo último es la falla de la cultura . 2
  3. 3. La discusiones sobre riesgos en las corporaciones son originadas por las crisis. La crisis solamente expone las debilidades de lasprácticas de gestión riesgos. En estas discusiones, siempre se hace hincapié en la cultura como un factor para incorporar el riesgo ala toma de decisiones. En esta charla, les quiero compartir experiencias para mantener la actitud apropiada dentro del gobiernocorporativo y algunas herramientas para generar esta cultura de evaluación permanente de riesgos e integrada a la toma dedecisiones.La cultura organizacional es un componente clave dentro del ERM, vinculada al aspecto de toma de decisiones para cumplirobjetivos (tanto proveyendo estructura como disciplina). Cuando todos los empleados permanecen vigilantes de riesgospotenciales, tanto internos como externos, la organización aumenta su probabilidad de detectarlos y tratarlos. Esta vigilancia es unsubproducto de la cultura (entendida como un sistema de valores compartidos para la conducta de un grupo). La actitud de losniveles para construir esta cultura requiere 1) formular una estrategia de gestión de riesgos, 2) articular esta estrategia para todoslos empleados (protocolos, controles, marco ISO/COSO..), y 3) actuar en consistencia a esta estrategia (para obtener tratamientosuniformes de riesgos, asignar responsabilidades claras).Esta cultura comprende entonces las actitudes y el comportamiento colectivo de la organización para identificar, discutir ygestionar los riesgos que toma. La definición de cultura que utilizada en esta presentación se hace en el contexto de la pregunta¿Qué determina como una compañía toma decisiones? La clave de una cultura para ERM es que hablamos de una cultura fuertecuando estas decisiones se toman de forma disciplinada, tomando en consideración los riesgos y los beneficios sobre una basefundamentada. Estas decisiones se extienden en la organización desde la definición de estrategias globales a largo plazo hastadecisiones de negocios rutinarias. Esto determina que la cultura de riesgos no sea un concepto de un grupo concreto en el topmanagement sino que debe extenderse a todos quienes toman decisiones (por ejemplo y especialmente en planeamiento ypresupuestación). La conciencia de riesgos implica entender que son una parte de nuestro negocio, y por lo tanto gestionables (nonecesariamente para eliminarlos). Una buena cultura asegura que “hacer lo correcto” prima sobre “hacer todo lo que seanecesario”.Esta cultura sostiene las decisiones en situaciones complejas:-decisiones que sacrifican el valor ajustado al riesgo en el largo plazo por ganancias en el corto plazo (incremento de ventas,hipotecas subprime)-decisiones que involucran el ingreso y el ego de quienes las toman (promociones, bonus, crecer, sistemas compensatorios)-decisiones bajo presión (de reguladores, agencias de rating, mercados)La cultura también debe aprender de la experiencia pasada, incrementando el conocimiento para tomar mejores decisiones. Aquítiene peso el resultado de lo que medimos (KRIs).La cultura se puede crear y cambiar, para ello hay un papel educativo de los lideres sobre riesgos en la organización. Para pasar deempleados sin entendimiento de riesgos a aquellos que actúan en forma inteligente debemos educar sobre riesgos en seminarios ypresentaciones sobre casos, así como incentivar que los empleados hagan sus propias evaluaciones sobre riesgos. Demos dar elpoder a los empleados para definir sus riesgos y sus controles.Para las compañías de seguros bajo Solvency II, debemos demostrar que la metodología de cuantificar riesgos operacionales estáalienada al perfil de riesgos, y que el resultado se usa en el proceso de decisiones estratégicas y planeamiento de negocios. 3
  4. 4. Una cultura consiente de los riesgos es necesaria para el éxito de todo ERM, asegurando de optimizar el valor de los accionistas a través de optar poralternativas de riesgos/beneficios. De todos los componentes de riesgos, la cultura es por lejos la parte más compleja con un impacto exponencial.Esta cultura que involucra desde la filosofía corporativa a las percepciones individuales. Debemos evitar el común que se perciba a la cultura degestión riesgos como un mero tema de compliance, y el gestor de riesgos se convierte solamente en el custodio del registro de riesgos.Si falla alguno de sus elementos, puede que no identifiquemos todos los riesgos o sean valuados incorrectamente. De esta forma las decisionesterminan ignorando ciertos riesgos o no son consistentes con los objetivos corporativos. Necesitamos criterios rigurosos y estos se basan en la culturade riesgos. Cuando la cultura no es correcta, aún el modelo de gestión de riesgos más sofisticado será inefectivo.En una mala cultura, nuestros gestores no hacen “lo correcto” a pesar que exista una buena política de riesgos y controles. En una buena cultura,nuestros gestores hacen siempre “lo correcto” aunque fallen las políticas y los controles. Muchas veces “el poder” dentro de la organización no dejaque se generen y compartan percepciones distintas sobre los niveles de riesgos. Muchas veces la definición de los objetivos estratégicos no escompartida dentro de la organización.En la práctica, encontramos más ejemplo de malas culturas “ex-post” de problemas, que identificar los elementos de una buena cultura “ex-ante”.Elementos de una buena cultura de gestión de riesgos:1- Hay una clara estrategia de ERM, con objetivos, apetito y métodos definidos que incluyen a todos los grupos de interés y contrapartes. Hayconfianza y liderazgo.2- La caracterización de los riesgos está integrada a la toma de decisiones y cuenta con KRIs y planes de acción3- Todos los procesos tienen su análisis de riesgos y se actualizan a su nivel y agregación (evita seguir el “risk ju jour”, proceso iterativo, al poderagregar nos permite identificar estrategias de diversificación de riesgos)4- Se cuenta con el factor humano capacitado y disponible para identificar, valuar y tratar riesgo. Tanto la evaluación de desempeño de la compañía yde las personas se ajusta a los riesgos5- Se cuenta con un sólido sistema de reporte de riesgos y pérdidas. Los responsables se sienten cómodos al reportar sus riesgos y pérdidas(comunicación abierta).6- ERM está optimizado para detectar oportunidades, incluyendo a la mejora continua7- Se cuenta con la capacidad para estructurar varias visiones sobre el mismo riesgo (métodos, modelos documentados, una única taxonomía que sepueda agregar/armonización, un solo vocabulario)En riesgos hablamos de los sesgos cognitivos que generar una distorsión con la realidad y sus datos, originando una toma de decisiones irracional (“miriesgo es el más importante”/”yo soy el mejor gestor de este riesgo”, todos sostienen que gestionan riesgo en forma conservadora). Buscamosinvestigar solo las opiniones que creemos de antemano, nuestra memoria se altera, pensamos que los eventos del pasado fueron predecibles, noscreemos responsables de los éxitos pasados (sin mirar a “la suerte”). Para ilustrar este tipo de sesgo, pensemos en el capitán del Costa Concordia.La cultura debe fomentar:1- No evitar discusiones conflictivas (me pone nervioso una reunión sobre riesgos donde todos estén felices, buscar múltiples perspectivas, si todospiensan lo mismo es porque alguien no está pensando)2- Darnos el tiempo necesario para tomar decisiones informadas, definiendo bien los perímetros de cada riesgo3- Explicar nuestros conocimientos que basan las decisiones (aunque requieran mayores esfuerzos).4- No encuadramos a nuestro conocimiento sin buscar terceras opiniones5- No sobre estimar nuestra capacidad para tomar buenas decisiones6- Darnos la posibilidad de cambiar (tendemos siempre a mantener las posturas que hemos tomado en el pasado) 4
  5. 5. Importancia de la cultura al reclutar.Estudio sobre ofertas de trabajo internacionales sobre posiciones gerenciales en riesgo(“risk manager”, “risks director”, “Chief Risk Officers”, “Head of Risk”, “Risk Leader”,“Risk Management Officer”). Frecuencia de palabras en “responsabilidades” paraofertas laborales en jobscout24.ch , gaapweb, monster, indeed, etc – Solo 2 ofertas conreferencias explícitas para promover la cultura sobre 100.A pesar de esto, el nuevo COSO en borrador nombra la cultura 12 veces.http://www.coso.org/documents/coso_framework_body_v6.pdf 5
  6. 6. Dicen que las acciones hablan más fuerte que las palabras. La cultura de conciencia de riesgos requiere que todas las áreas de laempresa conozcan sus riesgos. ¿Cuáles son las claves para el éxito entonces?Liderazgo – Una característica de una cultura de riesgo fuerte es un estilo de liderazgo fuerte para toda la organización y todos susproyectos, además se complementa con un estilo de gestión participativa y que se base en el conocimiento de los empleados y losmiembros del equipo. EMR debe ser muy visible: queremos mejorar la habilidad de la compañía para tomar riesgos, y no limitarnegocios. La efectividad depende que le guiemos a nuestros empleados concretamente que hacer. Si no creemos en ERM, noposibilidad de generar el entusiasmo necesario. También nos encontramos con la pregunta: ¿si todos ya estamos gestionandoriesgos, para que necesitamos un marco de ERM? El problema es que la diversidad de riesgos, necesita uniformizar criterios(establecer un apetito, una visión). Sin saber a que puerto navegamos, ningún viento es favorable (Seneca).Responsabilidades – Al asignar metas a nuestra gente, asignamos responsabilidades (y riesgos) por esas metas. Promover que losempleados sean responsables por sus acciones (decisiones). Un elemento de fundamental de asimetría es que personas buscadorasde riesgos manejan dinero de otros. De esta forma, los beneficios del dinero de otros e incentivos al gestor de riesgos deben estaralineados con responsabilidades. Estas responsabilidades sobre riesgos se desprenden de que cada persona es responsable pormetas establecidas. Debemos fomentar que este bien claro quien es el propietario de cada riesgo (y que realmente lo entienda). Hayresponsabilidades top-down (ej. RCSA) y bottom-up (escalar tratamientos, aprobación de riesgos/RCSA). La maduración de unsistema de ERM depende que se de la delegación de autoridad en cascada a todos los niveles. De principio, los gerentes en cadalínea de negocio deben ser aquellos que identifican, evalúan, controlan y son propietarios de los riesgos. Luego tenemos otrasresponsabilidades dentro de ERM, como la dirección en establecer el apetito y establecer las líneas de reporte, los comités deriesgos y auditoría sobre el monitoreo. Objetivos pocos claros generan riesgos inesperados.Captura riesgos 360º - Permitir la captura de riesgos dentro de todos los niveles de la organización, por áreas y por proyectos. Unode los principales problemas culturales que piensen que los gestores de riesgos sabemos de antemano donde está cada riesgo.Cuando ponemos nuestros métodos de identificación de riesgos en manos de otros gerentes y empleados, es cuando cambiamosla cultura saliendo de los silos de información. En esto, además debemos mirar por igual ganancias o perdidas no esperadas. Lageneración de caja en forma inesperada, también es un síntoma de debilidades de control. Esto requiere también centralizar losperfiles de riesgos en un registro y bajo un cargo, buscando la consistencia entre los departamentos. Identificar riesgos en 360grados favorece comprender la interacción de riesgos a un nivel “de portfolio”, permitiendo consolidar riesgos empresariales. Estealcance de 360º debe estar formalizado.Comunicación – Una comunicación completa y transparente permite que tengamos una “visión de helicóptero” (contra la “visión detúnel” y el sesgo confirmatorio). Las empresas que efectivamente gestionan sus riesgos son propensas a comunicarlos ytolerantes para discutirlos . ¿Nos podemos dar el lujo de perder datos? Es natural que la gente se sienta vulnerable al discutir losriesgos e incidentes de su área y su evaluación tiende a no ser honesta. Una cultura de comunicación abierta requiere definicionesformales y que la Dirección lidere con el ejemplo. La comunicación debe incluir a todos los grupos de interés, geografías y gestoresde portfolios. Generalmente en empresas de alta competencia, los empleados no se compartan información y genera un desafíoextra al ERM. La comunicación permite encontrar riesgos de contagio y correlaciones. Si pretendemos que el ERM esté en nuestrasdecisiones, no puede ser una especialidad de pocos. Riesgos implica muchísimo intercambio de información. Nadie puede asumirresponsabilidades sobre lo que no entiende, y aquí hay un soporte de entrenamiento desde ERM. Aquí hay un papel importante enel software de GRC que utilicemos. En palabras de Warren Buffett “el riesgo se origina cuando no sabes lo que estás haciendo”.Es difícil que buenos controles compensen una mala cultura.¿Quiénes vienen de organizaciones que tengan más de un 10% de empleados con contacto en ERM? 6
  7. 7. En negocios, los resultados se alcanzan por medir el éxito de cierta acción ymonitorear su progreso en el tiempo. En riesgos, lo mismo pasa para la cultura. Elliderazgo o la comunicación no significan nada si no pueden ser medidos. La medicióny el monitoreo son condiciones necesarias pero no suficientes para la mejoracontinua del sistema de gestión de riesgos. ERM quedaría solo con un efectoplacebo. Una cultura de conciencia de los riesgos no es un concepto meramenteintangible, sino tiene elementos medibles para saber como estamos progresando haciaciertos objetivos.Decirle a alguien que tiene un rol en la gestión de riesgos, pero no medirlo, no generaun incentivo para modificar conductas. Además, la medición y monitoreo del ERM es laforma de justificar su aporte a la organización.Medir generar la oportunidad de aprender el pasado, investigando las opiniones de losgrupos de interés internos y externos (y en particular sobre auditoría donde sus planesde trabajo se basan en riesgos). Una herramienta es el Control Risk Self Assessment,el reporte de riesgos, y las bases de reporte de incidentes y pérdidas. Se necesitanencuestas para obtener información. Debemos generar “business cases” en lugar queadvertencias. Por ejemplo, no solo reportar que tenemos dos centros de respaldo dedatos muy cercanos en una zona inundable, sino demostrar con valores cual es el ahorrode mudarlos.Papel de las encuestas de satisfacción. 7
  8. 8. La mitad de toda gestión es hacer la pregunta correcta, y la otra mitad es obtener la respuesta correcta. Una buenaherramienta para medir la efectividad de la gestión de riesgos son las encuestas anónimas. Buscamos acá encontrarlos datos que evidencian si estamos en la cultura correcta. Hay varias soluciones en el mercado (PWC, sobre web,confidencialidad al gestionarla un tercero, customizada por área, posibilidad de benchmarking). Cada capítulo de laencuesta debe tener su propietario (ej. liderazgo a la alta dirección, y gestión sobre el grupo ERM).¿Qué medimos? ¿Cómo nos ven? ¿Riesgos se extendió más allá de compliance o auditoría?-Liderazgo: Qué tan bien hemos transmitido la misión ética de la empresa así como comunicado los objetivos. Esdecir, que el sector de gestión de riesgos genera valor y un clima de confianza con su liderazgo. ¿Hemos construido unclima para un debate abierto sobre riesgos y los objetivos estratégicos? ¿Mensaje consistente, propensos al riesgo oal control? ¿Somos inclusivos?-Responsabilidad: Qué tan bien hemos alineado las responsabilidades individuales de la gestión de riesgos con losinventivos. Incluye acá el análisis de escalamiento apropiado de cuestiones. ¿Está en claro quienes son los dueños delos riesgos? ¿Sancionamos a quienes sobrepasaron un nivel de riesgo?-Comunicación: Qué tan bien hemos comunicado las herramientas de gestión (ej. capacitación, el apetito de riesgo, laposibilidad de crear conocimiento especialmente desde los errores). ¿Hemos comunicado a nuestros empleados lasfronteras por las cuales pueden operar? ¿Se reportan “las malas noticias”? ¿La comunicación fluye top-down,bottom-up o en ambos sentidos? ¿Incentivamos la mejora continua?-Gestión: Qué tan bien hemos construido planes de acción, controles, y la infraestructura que hemos construido. Esdecir, en que medida hemos integrado ERM a la toma diaria de decisiones. ¿Están funcionando bien los comités deriesgos? ¿Se aplica consistentemente el marco de ERM?Esta encuesta debe cubrir a todos aquellos que tienen algún rol en la gestión de riesgos (gerencias operativas,finanzas, seguros, estrategias). Su aporte más importante es que genera un diálogo interno para utilizar mejor losrecursos invertidos en ERM, recordando que el principal objetivo del GRC es la mejora de la eficiencia. Esta encuestada un marco general a los RCSAs.Un método de construcción de culturas solidas de gestión de riesgos está en su infancia. Las prácticas más actualestienen problemas para relacionar objetivos con riesgos por falta de información (especialmente la externa).También la falta de conocimiento es un impedimento fuerte para el desarrollo de la cultura. Esto impide encontrarindicadores predictivos de riesgos como amplios análisis de competencia o planeamiento por escenarios. Sinembargo hay puntos a favor, cada vez más empresas no financieras crean sus funciones de CROs como consejerosestratégicos, y hay mayor presión de los reguladores (ej. Swiss Quality Assessment para seguros). 8
  9. 9. 9
  10. 10. Otro elemento clave en sustentar la cultura de riesgos es una buena política de riesgos que proveadirección, transparencia a los grupos de interés y neutralidad en la gestión.Esta política debe definir:•los objetivos y los recursos del grupo de gestión de riesgos•generar un léxico común (y un registro común)•el nivel de riesgos que la compañía está dispuesta a aceptar (implementar el apetito de riesgos en nivelesoperativos y en responsabilidades es un proceso complejo, establecido por el directorio, ej. crecimiento >del 2% en el BRIC, inversiones de > un free cash flow de $$$, mantener el B+, > EBITDA/intereses de 4,evitar pérdidas de > $$$ )•el proceso formal de identificación y tratamiento de riesgos y oportunidades, y relacionándolos con losprocesos de planeamiento estratégico•estrategias: top-down y/o bottom-up, cuantititivas o cualitativas.•el mapeo desde los riesgos hasta los controles•Los responsables del seguimiento de los riesgos (y de gestionar el registro), frecuencias de actualización•El reporte de indicadoresEsta política debe dar un marco para la toma de decisiones que involucren alto riesgo (adquisiciones,litigios, asumir riesgos no asegurables, endeudamiento). Es relevante prever este proceso, así comoprevemos y documentamos nuestros planes de emergencia. Este punto requiere que se identifiquenaprobadores, análisis a solicitar, niveles de calidad mínimos (por ejemplo, utilizar nuestros mejoresrecursos para llevarlas a cabo), comunicación y dialogo con grupos de interés, y quienes serán losnegociadores. Básicamente, debemos prever como evitar sesgos cognitivos en este proceso. La política deERM debe estar integrada a las iniciativas de GRC.Luego de definir la política de riesgos, el paso natural es armar el perfil de riesgos listando todos losriesgos potenciales que la organización puede enfrentar.La política debe involucrar que nuestros socios y proveedores estratégicos cumplen con nuestrosestándares de gestión de riesgos (por ejemplo, como los seleccionamos y evaluamos). Esta política debepermitir que los riesgos identificados se comparen con el portfolio de bienes asegurados. 10
  11. 11. Estas funciones para desarrollar una cultura de riesgos se basan principalmente en los objetivos de un comité de riesgos corporativo. En la práctica (ysegún varias encuestas), el principal sponsor del ERM es el CFO (y por presiones regulatorias). Contar con un comité de riesgos aumenta lacredibilidad de esta iniciativa, aunque no se encuentren con recursos dedicados.En términos generales sus objetivos incluyen:1- sostener un monitoreo general sobre las funciones de gestión de riesgos y cumplimiento normativo. En este aspecto, garantiza el seguimiento deriesgos que ponen en peligro el cumplimiento de objetivos estratégicos, emiten políticas de gestión de riesgos, evalúan los planes de acción con suscontroles y planes de continuidad de negocios y contingencias, estructuran políticas de alto nivel de seguros, evaluar la consistencia entre los riesgosno asegurados y la tolerancia/expectativas de los grupos de interés, definir el registro de riesgos y sus indicadores, planes de identificación de riesgospor las unidades de negocios y el seguimiento de cuestionarios. El centro aquí es dar una estructura a estos temas.2- proveer información de entrada sobre los riesgos que enfrenta la organización tanto internos como externos (portfolio de riesgos corporativos). Eneste aspecto, tienen un papel de coordinación y planeamiento de recursos en vistas de nuevos riesgos previstos como cambios esperados en elentorno. Los miembros de este comité deben tener recursos para identificar riesgos externos emergentes (y mantener un pensamiento “out of thebox”).3- proveer de recomendaciones a la junta ejecutiva con respecto a las prácticas de negocios y las actividades de ERM. En este aspecto, tienen un papelde consultores sobre las mejores prácticas para administrar el programa de ERM, las técnicas para mitigar riesgos, implementación de medidas deprevención de pérdidas.Es decir, toma las responsabilidades (y la autoridad) de la alta dirección en ERM para un mejor seguimiento y reporte a todos los stakeholders. Laalta dirección queda a cargo de establecer las estrategias, pero debe entender los riesgos inherentes a las mismas y recibir cuestiones escaladas. Suprincipal responsabilidad entonces es construir una cultura de riesgos dentro de la organización, con un enfoque educativo e integrando prácticas.Busca así evitar un comportamiento disfuncional que tienda a absorber riesgos excesivos.Cuando el comité de auditoría tiene el tiempo, el apoyo y las habilidades necesarias, estas funciones pueden ser llevadas por ellos. En ciertasindustrias, la complejidad puede requerir un comité por separado; o bien cuando el comité de auditoria se centra solamente en compliance sobretemas que tienen impacto contable. Adicionalmente, hay aspectos regulatorios que pueden pedir un comité por separado, por ejemplo, la ley Dodd-Frank para bancos cotizantes con más de 10b USD en activos o empresas no bancarias supervisas por la Reserva Federal (ING, GMAC). La separaciónde funciones es positiva en empresas complejas desde lo financiero, que tienen ambientes cambiantes (IT), o ante cambios de entornos (crisis decrédito/liquidez, mercados). Los comités de riesgos pueden regionalizarse para luego consolidarse globalmente. También estas funciones pueden serllevadas por un grupo de trabajo menos formalizado y dentro del “C-suits”. Este grupo ayudará a sustentar los esfuerzos del Chief Risk Officer o el líderen ERM.En la encuesta de Protiviti publicada por COSO en Diciembre de 2010, el 71% de los directores indicó que el comité ejecutivo no estaba llevando acabo un análisis maduro y robusto para monitorear el proceso de detección de riesgos (a pesar de la atención a este tema en los últimos 10 años). Sibien muchos reciben un resúmen de los riesgos claves por unidad de negocio, en general les falta el análisis de escenarios sobre el impacto decambios externos, las excepciones a las políticas de riesgos, cambios en riesgos inherentes, y el reporte de los planes de mitigación.Este Comité también debiera mantener un diálogo para establecer el apetito de riesgos de la organización (y formalizarlo en su propia política degestión de riesgos). Especialmente debe establecer los supuestos para determinar este apetito, en términos de articular los criterios establecidos paracrecer en los mercados a partir de estrategias regionales, la evaluación de riesgos reputacionales, los límites de inversión, de nivel de deuda, de ratingcrediticio y de liquidez deseados. La cultura organizacional tiene un alto impacto al establecer el apetito de riesgo. Sorprendentemente a pesar de suimportancia, el concepto de apetito de riesgos no está mencionado en la ISO 31.000 (aunque si en otras ISOs). También debiera participar en losprogramas de incentivos.¿Quiénes pueden implementarlo? 11
  12. 12. Desde hace mucho tiempo, los ingenieros en geología descubrieron que poner pernos y cables de fuerza reforzaba las aberturas ylos pasajes en las minas para compensar la presión de las rocas. Estos ingenieros detallaron la densidad y el modo de sujetar loscables para mantener la mina segura y evitar un colapso. Con el tiempo, quienes debían ponerlos se dieron cuenta que podíanespaciarlos, llevarse su salario con un premio “productividad” y dejar un falso sentido de seguridad. Centímetro a centímetro, estapráctica termina con el colapso de la mina. Sobran ejemplos sobre la generación de riesgos no aceptados por un correcto sistema deincentivos.El interés personal es un fuerte motivador sobre la forma que los empleados toman decisiones. En términos de riesgos, losincentivos son el factor más determinante para que se tomen las alternativas más alienadas a las estrategias corporativas. En unmundo perfecto, premiamos a los gerentes que minimizan la exposición a riesgos de la compañía. ¿Si tenemos un gerente que bajalas pérdidas, no debemos reconocerlo? ¿Premiamos por bajar índices de siniestros o pérdidas? En la práctica, es frecuenteencontrar que los premios y los castigos no son simétricos (premiamos mucho y castigamos poco). No es tanto el problema elpagar bonos, sino el hecho de no penalizar las malas conductas. ¿Hay simetría para un trader entre un bono suculento o serdespedido para encontrar un nuevo trabajo en días?En estas últimas décadas, hemos visto que la compensación de los gerentes se basa mayormente sobre ganancias, pero¿incentivamos a nuestros gerentes a “hacer lo correcto”? ¿Incentivamos el cumplimiento de objetivos de control así como losfinancieros? Hemos visto especialmente con la crisis financiera de 2008 que los programas de incentivos contribuyeronfuertemente a que las decisiones sobre riesgos no sean ni prudentes ni se basen en el largo plazo. Los incentivos para todos losniveles deben basarse en las acciones para cumplir las estrategias dentro de un apetito de riesgo. No incluir estos aspectos generaun mal mensaje a los empleados: la compañía no valora el riesgo. Es muy difícil convencer a la organización a limitar sus riesgos(especialmente en los auges económicos), y más aún cuando solamente premiamos rentabilidades. Los traders se ven como centrode ganancias y los gerentes de riesgos como centros de costos. Hemos visto gerentes buscando obtener un gran impacto enresultados para ascender, y no en proyectar sus carreras en 40 años. Con la rotación actual, muchos gerentes de línea estánpensando en planes a corto plazo. Por otro lado, no podemos perder la motivación de nuestros gerentes en sus aspiracioneseconómicas (de hecho, es el tipo de personalidad alpha que busca resultados que se busca). En un ambiente donde se busca sermás rico, no es sorprendente que riesgo pase a segundo lado a menos que se refuerce desde la alta dirección.¿No deberíamos ajustar los incentivos para que no solo cubran los resultados del ejercicio pasado para que incluyan añossubsecuentes? A pesar de varias experiencias recientes, no tenemos un estudio claro de que tipo de incentivos crea una mejorcultura de riesgos. Cuando cayó Bear Stearns, los empleados tenían un tercio de la empresa por incentivos, y poco valió para evitarsu colapso. Sin embargo, la evidencia indica que debemos incentivar una cultura de riesgos a largo plazo. Los incentivos debencambiar de orientarse al crecimiento y la rentabilidad, a la protección de los activos a largo plazo. Un buen comienzo es eldiferimiento progresivo de los bonos (las clawback provisions, que pasaron de 10 a 86 empresas del Fortune 100 desde el 2006, encierta forma también las stock options). Una alternativa es generar una evaluación de riesgos sobre cada bono (o promoción).Luego, se puede ya implementar un esquema de compensaciones ajustadas al riesgo, es decir, ajustadas a las expectativas delriesgo para los inversores, ajustando la voltalidad (por ejemplo en seguros médicos, ajustando actuarialmente los beneficios porincorporar asegurados con más o menos riesgos que el promedio de cada producto; en general se relativizan los incentivos contrauna benchmark/apetito de los inversores). 12
  13. 13. Ningún estándar o política por si solas modifican las conductas. Una herramientavaliosa para generar una cultura de riesgos son las revisiones de auditoría sobre riesgos.Permiten verificar el cumplimiento de los planes de acción, el diseño de controles(procedimientos), la validez de los datos que usamos, y en general, sobre como hemosadoptado la política de ERM. Este concepto va más allá del monitoreo de riesgosentendido por los cambios en las frecuencias o los impactos. Incluye también que tanefectivos hemos sido en la aplicación de recursos (personas, sistemas, inversiones enplanes de acción), el nivel de documentación, actuación de los comités, la adecuaciónde los modelos, etc. Básicamente si estamos reportando todos los riesgos. ERM debe sertan auditable para una organización como cualquiera de sus líneas de negocios.Tanto auditoría interna como externa, no llegan a cubrir el 20% del inventario de riesgosen su trabajo anual (Risk Oversight). Es relevante entonces verificar que el proceso quedetecta el 100% de los riesgos es efectivo, más que auditar riesgos puntuales. Laincorporación de ERM en auditoría aún requiere mayores esfuerzos. Además, auditoriapuede seguir sólo algunas entidades dentro de su alcance (por ejemplo para SOX).Quizás la evolución de la ISO 31k en estándares detallados (incluyendo la definición deapetito) y certificables, más que en principios generales, de un mayor papel a estaauditoria. ISO 31004: Risk management – Guidance for the implementation of ISO31000 planeada para el 2013 (“guia de la guia”).Quien debe auditar el modelo no es el área responsable de ERM, sino una unidadindependiente (generalmente auditoría interna o un consultor). 13
  14. 14. Estos desafíos no constituyen impedimentos para implementar un buen sistema de ERM, sino que en realidad,constituyen los casos donde brinda mayor valor.Los negocios en ambientes que cambian rápido son excitantes y generan innovación (especialmente industrias de altocrecimiento), pero también generan presiones a nuestro ERM en cuanto a el cumplimiento de metas financieras másallá de los medios reales en personas y tecnología. También generan una tendencia a que la información fluya solohacia abajo, sin poder reconocer los obstáculos y los peligros que enfrentan las personas en operaciones. Esto impideademás estabilizar controles tradicionales, y no podemos analizar escenarios al carecer de información interna. Lacultura es siempre más lenta de cambiar que los negocios (cambiar lo que hacemos es más fácil que cambiar lo quecreemos). Solución: más frecuencia de actualización.Cuando el sistema de información es limitado (falta de integración entre sistemas, inconsistencias, sin validaciones),la exposición al riesgo crece. Es una situación, por ejemplo, al gestionar productos o proyectos complejos, dondepocas personas entienden sus transacciones, y aún menos como se controlan. La diversidad de transacciones odisponer de poco tiempo hace que los gestores no puedan analizar adecuadamente riesgos. En este ambiente,podemos capturar riesgos relevantes, pero perdiendo los riesgos menores. También son sistemas que capturaninformación cuantitativa del riesgo, pero pierden la cualitativa. Solución: métricas simples.Los gerentes a nivel local y operativo pueden tomar decisiones sin conocer las estrategias definidas por la altadirección, y esto puede hacerles asumir altas exposiciones. Las empresas descentralizadas generalmente carecen decanales de información y responsabilidades bien definidas. De esta forma, no hay una clara comunicación de queacciones están “fuera de juego”. En estos casos, debemos fomentar una cultura igualitaria (escuchar a todos) antesque individualista. Nadie puede gestionar un riesgo en forma aislada. Solución: debemos considerar aquídescentralizar el equipo de ERM pero manteniendo un solo registro.Debemos cambiar el enfoque que distintos riesgos tienen distintos tratamientos y se gestionan “caso por caso”, abuscar un solo estándar para integrarlo al sistema de gestión de la organización. 14
  15. 15. Experiencia del CEO despidiendo a varios ejecutivos, asumiendo el riesgo de actuarerróneamente como el mayor de su carrera: ¿podría esto haber estado dentro de un registro deriesgos, en un “top 10’” de riesgos o indicado por un software?Muchas firmas pasan el 80% del tiempo recolectando datos y sólo el 20% analizándolos, yademás repiten este proceso periodo a periodo. Además tendemos a poner esta informaciónpara analizar en un mapa de calor con Poisson en frecuencia, logarítmica normal en impacto, ydonde verde es bueno, rojo es malo y amarillo es algo como indiferente. ¿Cómo llegamos arankear en alto, medio o bajo? Cuando preguntamos como llegamos a estos mapas vemos que laintegridad de la información es muy parcial y genérica. ¿Cuáles son los riesgos claves en nuestrataxonomía? ¿Qué tan granular debe ser nuestra taxonomía? Para responderlo tambiénnecesitamos varias iteraciones en la generación de datos (por ejemplo, analizar los resultados delos CRSA por 3 períodos según lo que indica la experiencia). El principal desafío (y punto de iniciopara integrar un GRC) es llegar a una taxonomía común que sirva a todos los grupos de interés(auditoría, riesgos, compliance, sistemas, legales, reporte a reguladores…). Esta taxonomíacomún permite aplicar la “risk intelligence” para reducir controles innecesarios, detectarcorrelación de riesgos y distinguir datos relevantes.Tener buena información es clave para la identificación de riesgos. Al comenzar a implementarcada ciclo de estudio de riesgos, comenzamos viendo información histórica como partida, yluego pensamos en los planes a futuro, tendencias y la evolución esperada de los temasabiertos.Un buen sistema de información debe moverse de ser cualitativo (subjetivo) a cuantitativo(objetivo).Cubrir otras fuentes de información para identificar riesgos (fuera de modelos, talleres o RCSAs) 15
  16. 16. Conclusiones: El mundo en 17001- Lo conocido (Europa), eventos con alta frecuencia y bajos impactos, foco principal delos controles de supervisión. Estos son los riesgos que podemos predecirrazonablemente, estandarizar un plan de acción e incluso generalmente evitar queocurran o escalen.2- Lo erróneamente conocido (California, Corea), riesgos operacionales y financiero,foco principal de la metodología de valuación de ERM y del monitoreo.3- Lo que sabemos desconocemos (Australia)… y hasta podemos preferimos seguirdesconociendo, foco principal de una cultura de gestión de riesgos fuerte. ¿Porquédesconocer riesgos? Por ejemplo en la experiencia de crisis actual, reconocer exposicióna los riesgo crediticios limitaba los beneficios a corto plazo, requerían una fuerte acciónpolítica de la Dirección, bajaban los ratings, impiden crecer (en ciertos productos) orecortaban los incentivos. La complacencia es el principal enemigo del ERM (desconocerriesgos es al final el “moral hazard” de los rescates públicos). En general, son los riesgosque cambian nuestro modelo de negocio.4- Lo que no sabemos que desconocemos (Antártica, Donald Rumsfeld), ej. riesgos encontagio, riesgos sorprendentes. Para ellos es generar una cultura de continuamentemonitorear nuevos riesgos y vulnerabilidades. Aquí no podemos tener ningunametodología programada y debemos confiar en el criterio de nuestros gerentesoperativos y nuestro plan de gestión de crisis. Una buena cultura nos prepara mejor aenfrentar lo conocido.El 100% de nuestros riesgos, empleados y reguladores son personas; si no entendemosa las personas y su cultura, no entendemos los negocios. 16
  17. 17. Bonus:La definición de riesgos puede hacerse con una herramienta llamada CASE para articularsus características:C onsequence – ¿Cúal es el impacto del riesgo?A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como lainformación o la reputación)S ource – ¿Cuáles son los actores detrás del riesgo?E vent – ¿Qué tipo particular de incidente se tiene en cuenta?Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidadcomprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización(de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es uncontinuo). No solo la frecuencia y el impacto cambian ante cada definición, sinocambien los planes de acción. 17
  18. 18. 18

×